百度云观测,发现crossdomain.xml配置漏洞
今天早上去上班的路上,收到百度发来的短信:
你好,你的网站http://www.xxxx.com发现新增安全漏洞!发现时间:2016-3-17。请及时登陆百度云观测处理,以免引起损失<百度云观测>
当时心里一惊,想想前几天刚注册过百度云观测,百度云观测是百度推出的一项云服务产品,之前听人说百度云观测没什么用,但是抱着试一试的心里就注册了。百度云观测号称有几大功能:搜索引擎优化、网站安全监测、网站运营状况监测、网站速度监测。
到底是什么问题,到了公司赶紧进入百度云观测,发现是crossdomain.xml配置文件的错误,需要赶紧处理
crossdomain.xml据我所知应该是adobe公司发起的用于控制flash跨域访问文件的。我的crossdomain.xml配置很简单
<allow-access-from domain=”*” />
那问题就出在这个*上了,允许所有域名访问
要处理这个问题,只需要把它改成本站域名就行了
<allow-access-from domain=”*.yangchongyuan.com” />
这样就安全了。
百度的云观测还是有点用处的哈。